lunes, 28 de octubre de 2019

Duqu

Ir a la navegaciónIr a la búsqueda
Duqu es un conjunto de malware (software malicioso) para ordenador descubierta el 1 de septiembre de 2011, se cree que está relacionado con el gusano Stuxnet. El Laboratorio de Criptografía y Sistemas de seguridad de la Universidad de Tecnología y Economía de Budapest en Hungría descubrió la amenaza, analizó el software malicioso, y escribió un informe de 60 páginas nombrando la amenaza Duqu.123​ Duqu obtuvo su nombre del prefijo "~DQ", el cual es el nombre que da a los archivos que crea.4

Nomenclatura[editar]

El término Duqu puede usarse de varias maneras:
  • Software Malicioso Duqu es una variedad de componentes software que juntos proporcionan servicios a los atacantes. Actualmente esto incluye capacidad de robar información y, en segundo plano, controladores kernel y herramientas de inyección. Parte de este software malicioso está escrito en un lenguaje de programación de alto nivel desconocido, bautizado "Marco Duqu". No es C++, Python, Ada, Lua ni ningún otro lenguaje conocido. Aun así, pruebas recientes sugieren que Duqu puede haber sido escrito en C con un marco orientado en objetos personalizados y compilado en Microsoft Visual Studio 2008.5
  • El defecto Duqu es el defecto en Microsoft Windows que es utilizado por archivos maliciosos para ejecutar componentes de software malicioso Duqu. En la actualidad el defecto está detectado: un problema de la fuente TrueType relacionado con win32k.sys.
  • Operación Duqu es el proceso de solo usar Duqu para objetivos desconocidos. La operación podría estar relacionada a la Operación Stuxnet.

Relación con Stuxnet[editar]

Symantec, basado en el informe CrySyS, continuó el análisis de la amenaza, declarándola "casi idéntica a Stuxnet, pero con un propósito completamente diferente", y además publicaron un artículo técnico detallado, con una versión recortada del informe de laboratorio original como un anexo.6​ Symantec considró que Duqu fue creado por los mismos autores que Stuxnet, o que los autores tuvieron acceso al código fuente. El gusano, como Stuxnet, tiene una firma digital válida, pero muy usada, y recoge información para preparar ataques futuros.7​ Mikko Hyppönen, Jefe de Búsqueda para F-Secure, dijo que el controlador del kernel Duqu, JMINET7.SYS, era tan similar a Stuxnet MRXCLS.SYS que el sistema back-end de F-Secure pensó que se trataba de Stuxnet. Hyppönen añadió que la clave usada para hacer la firma digital de Duqu (sólo observado en un caso) fue robada de C-Media, ubicados en TaipéiTaiwán. Los certificados estaban pensados para expirar el 2 de agosto de 2012 pero fueron revocados el 14 de octubre de 2011 según Symantec.
Otra fuente, Dell SecureWorks, informa que Duqu puede no estar relacionado con Stuxnet.8​ Sin embargo, hay considerables y crecientes pruebas de que Duqu está estrechamente relacionado con Stuxnet.
Los expertos compararon las semejanzas y encontraron tres puntos de interés:[cita requerida]
  • El instalador explota vulnerabilidades nunca antes usadas del kernel de Windows.
  • Los componentes están firmados con llaves digitales robadas.
  • Duqu y Stuxnet están altamente dirigidos enfocados y relacionados con el programa nuclear de Irán.

Vulnerabilidad del día cero de Microsoft Word[editar]

Como Stuxnet, Duqu ataca los sistemas de Microsoft Windows utilizando una vulnerabilidad de día cero. El primer archivo instalador recuperado y revelado (apodado dropper) por CrySyS utiliza un documento de Microsoft Word explotando el motor de separado de palabras de la fuente Win32k TrueType permitiendo la ejecución de código malicioso.9​ El apodo de dropper (cuentagotas) en Duqu se refiere a la incrustación en la fuente, también refiriéndose a la solución alternativa para restringir el acceso a T2EMBED.DLL, que es el motor de separación de palabras de la fuente TrueType; solo funciona si el parche liberado por Microsoft en diciembre de 2011 no ha sido instalado.10​ El identificador de Microsoft para la amenaza es MS11-087 (comunicado por primera vez el 13 de noviembre de 2011).11

Propósito[editar]

Duqu busca información que podría ser útil para atacar sistemas de supervisión industrial. Su propósito no es destructivo, los componentes conocidos tratan de reunir información.12​ Sin embargo, basado en la estructura modular de Duqu, carga útil especial podría ser usada para atacar cualquier tipo de sistema informático por cualquier medio y así los ataques cibernéticos o físicos basados en Duqu podrían ser posibles. Además, cuando afecta a ordenadores personales se ha descubierto que elimina toda la información reciente introducida en el sistema, y en algunos casos borra completamente el disco duro del ordenador. Las comunicaciones internas de Duqu son analizadas por Symantec, pero el método real y exacto de cómo se reproduce dentro de una red atacada todavía no se conoce. De acuerdo con McAfee, una de las acciones de Duqu es robar certificados digitales -y sus llaves privadas correspondientes, como en la criptografía de clave pública- de los ordenadores atacados para ayudar a que virus futuros se camuflen como software seguro.13​ Duqu utiliza una imagen JPEG de 54×54 píxeles y un archivo vacío cifrado como contenedor para sustraer datos y mandarlos a su centro de control. Expertos en seguridad todavía están analizando el código para determinar qué información contienen las comunicaciones. La investigación inicial indica que la muestra original del software malicioso se auto-elimina después de 36 días (el software malicioso almacena esta configuración en los archivos de configuración), limitando su detección.[cita requerida]
Los puntos claves son:[cita requerida]
  • Los ejecutables fueron desarrollados después de Stuxnet, utilizando el código de fuente de Stuxnet que había sido descubierto.
  • Los ejecutables están diseñados para capturar información como pulsaciones de teclas e información del sistema.
  • El análisis actual no muestra código relacionado con sistemas de control industrial, vulnerabilidades, o auto-reproducción.
  • Los ejecutables han sido encontrados en un número limitado de organizaciones, incluyendo aquellas implicadas en la fabricación de sistemas de control industrial.
  • Los datos aflorados pueden ser utilizados para habilitar un futuro ataque del estilo de Stuxnet o podría ya haber sido utilizado como base para el ataque Stuxnet.

Servidores de órdenes y control[editar]

El análisis de algunos de sus botnet ha permitido apreciar una predilección por los Servidores CentOS 5.x , por lo que algunos investigadores creyeron que tenían una vulnerabilidad de día cero para CentOS.[cita requerida] Kaspersky ha publicado múltiples entradas en su blog sobre sus servidores de órdenes y control,14​ que están esparcidos en muchos países diferentes, incluyendo AlemaniaBélgicaFilipinasIndia y China.
Publicado por en No hay comentarios:

domingo, 27 de octubre de 2019

Flame (malware)

Ir a la navegaciónIr a la búsqueda
Flame,nota 1​ también conocido como FlamersKyWIper,​ y Skywiper,1​ es un malware modular descubierto en 2012​ que ataca ordenadores con el sistema operativo Microsoft Windows.​ El programa se ha usado para llevar a cabo ataques de ciber espionaje en países de Oriente Medio.​ Su descubrimiento fue anunciado el 28 de mayo de 2012 por MAHER (el Equipo de Respuesta ante Emergencias Informáticas de Irán),4​ Kaspersky Lab​ y el CrySyS Lab. de la Universidad de Tecnología y Economía de Budapest.5​ Este último afirma que "sKyWIper es el malware más sofisticado que hemos encontrado durante nuestros años de trabajo, es el malware más complejo que se ha encontrado".
Flame puede propagarse a otros sistemas a través de la red de área local (LAN) y mediante memorias USB. Puede grabar audiocapturas de pantallapulsaciones de teclado y tráfico de red.6​ El programa también graba conversaciones de Skype y puede controlar el Bluetooth para intentar obtener información de los dispositivos Bluetooth cercanos.7​ Estos datos, junto con los documentos almacenados en el ordenador, son enviados a uno o varios servidores dispersos alrededor del mundo. Cuando termina, el programa se mantiene a la espera hasta que recibe nuevas instrucciones de esos servidores.
De acuerdo a las estimaciones de Kaspersky, Flame ha infectado aproximadamente 1.000 máquinas.7​ Entre las víctimas se encuentran organizaciones gubernamentales, instituciones educativas y usuarios privados.6​ En mayo de 2012, los países más afectados son IránIsraelSudánSiriaLíbanoArabia Saudí y Egipto.

Especificaciones

El malware tiene un tamaño inusualmente grande de 20 MB, está escrito parcialmente en el lenguaje de programación interpretado Lua con código C++ compilado y permite que otros módulos atacantes sean cargados después de la infección inicial.68​ El malware usa cinco métodos diferentes de cifrado y una base de datos SQLite para almacenar información.5​ El método usado para inyectar el código en varios procesos es silencioso, de forma que los módulos malware no aparecen en la lista de los módulos cargados en un proceso y las páginas de memoria son protegidas con los permisos READ, WRITE y EXECUTE que la hacen inaccesible para las aplicaciones en modo usuario.5​ El código interno tiene pocas similitudes con otros malware, pero aprovecha dos vulnerabilidades que también fueron usadas previamente por Stuxnet para infectar sistemas.5​ El malware determina qué software antivirus está instalado en el sistema y modifica su comportamiento (por ejemplo, cambiando la extensión de archivo que utiliza) para reducir la probabilidad de ser detectado por ese software.5​ Indicadores adicionales de que un sistema está infectado son la exclusión mutua (mutex) y la actividad del registro. También la instalación de un driver de audio falso que permite al software iniciarse al arrancar el sistema.

Uso[editar]

Al igual que otras ciber-armas conocidas, Stuxnet y Duqu, Flame se emplea en objetivos concretos y puede eludir el software de seguridad actual a través de un rootkit.
Flame puede propagarse a otros sistemas a través de la red de área local (LAN) y mediante memorias USB. Puede grabar audiocapturas de pantallapulsaciones de teclado y tráfico de red.6​ El programa también graba conversaciones de Skype y puede controlar el Bluetooth para intentar obtener información de los dispositivos bluetooth cercanos.7​ Estos datos, junto con los documentos almacenados en el ordenador, son enviados a uno o varios servidores dispersos alrededor del mundo. Cuando termina, el programa se mantiene a la espera hasta que recibe nuevas instrucciones de esos servidores.6
A diferencia de Stuxnet, el cual fue diseñado para dañar procesos industriales, Flame parece haber sido escrito solo con propósitos de espionaje.9​ No parece dirigirse a un sector determinado, sino que más bien es "un conjunto de herramientas diseñadas para el ciber-espionaje". 

Flame no contiene una fecha predefinida en la cual se desactiva, pero permite a los operadores enviar un comando "kill" que elimina todos sus rastros de un sistema.7

Especulación sobre su origen

Según Eugene Kaspersky, "la ubicación geográfica de los objetivos y la complejidad de la amenaza no dejan dudas acerca de que existe un estado-nación apoyando el desarrollo de este malware."2​ También añade que este malware no se parece a Stuxnet, pero puede haber sido un proyecto paralelo solicitado por los mismos atacantes.11
El Equipo de Respuesta ante Emergencias Informáticas de Irán afirma que el cifrado del malware tiene "un patrón especial que solo se ve procedente de Israel."12​ The Daily Telegraph informó que debido a los aparentes objetivos, los cuales incluyen a IránSiria y CisjordaniaIsrael se convirtió en "sospechoso de los comentaristas principales". Otros comentaristas nombraron a China y EE. UU. como posibles autores.11​ Richard Silverstein, un comentarista crítico con las políticas de Israel, declaró que él había confirmado con una "fuente israelí de alto rango" que el malware fue creado por expertos informáticos de Israel.1311​ The Jerusalem Post escribió que el Viceprimer Ministro israelí Moshe Ya'alon parece haber dado a entender que su gobierno fue el responsable,11​ mientras que funcionarios de seguridad de Israel señalaron que las máquinas infectadas en Israel son una prueba de que EE. UU. está detrás del malware.14
Una red de 80 servidores a lo largo de Asia, Europa y América del Norte han sido usados para acceder a las máquinas infectadas de forma remota.15
Publicado por en No hay comentarios:

martes, 1 de julio de 2014

ataque cibernetico


Stuxnet


Stuxnet
Stuxnet es un gusano informático que afecta a equipos con Windows, descubierto en junio de 2010 por VirusBlokAda, una empresa de seguridad ubicada en Bielorrusia. Es el primer gusano conocido que espía y reprograma sistemas industriales,1​ en concreto sistemas SCADA de control y monitorización de procesos, pudiendo afectar a infraestructuras críticas como centrales nucleares.​
Stuxnet es capaz de reprogramar controladores lógicos programables y ocultar los cambios realizados.3​ También es el primer gusano conocido que incluye un rootkit para sistemas reprogramables PLC.4

La compañía rusa de seguridad digital Kaspersky Lab describía a Stuxnet en una nota de prensa como "un prototipo funcional y aterrador de un arma cibernética que conducirá a la creación de una nueva carrera armamentística mundial". Kevin Hogan, un ejecutivo de Symantec, advirtió que el 60% de los ordenadores contaminados por el gusano se encuentran en Irán, sugiriendo que sus instalaciones industriales podrían ser su objetivo.5​ Kaspersky concluye que los ataques sólo pudieron producirse "con el apoyo de una nación soberana", convirtiendo a Irán en el primer objetivo de una guerra cibernética real.678
El objetivo más probable del gusano, según corroboran medios como BBC o el Daily Telegraph,910​ pudieron ser infraestructuras de alto valor pertenecientes a Irán y con sistemas de control de Siemens. Medios como India Times apuntan que el ataque pudo haber retrasado la puesta en marcha de la planta nuclear de Bushehr.11​ Fuentes iraníes han calificado el ataque como "guerra electrónica"12​ aunque minimizan el impacto de los daños en sus instalaciones. Algunos medios como el norteamericano New York Times han atribuido su autoría a los servicios secretos estadounidenses e israelíes.13

Historia

A mediados de junio de 2010 la compañía VirusBlokAda informó de su existencia, y se han fechado parte de sus componentes en junio de 2009.3​ El gusano ha ido expandiéndose por distintos países.
PaísNúmero de ordenadores infectados
Irán62,867
Indonesia13,336
India6,552
Estados Unidos de América2,913
Australia2,436

Método de operación[editar]

Stuxnet ataca equipos con Windows empleando cuatro vulnerabilidades de día cero de este sistema operativo, incluyendo la denominada CPLINK y otra empleada por el gusano Conficker. Su objetivo son sistemas que emplean los programas de monitorización y control industrial (SCADAWinCC/PCS 7 de Siemens.
La diseminación inicial se hace mediante memoria USB infectadas, para luego aprovechar otros agujeros y contaminar otros equipos con WinCC conectados en red. Una vez lograda la entrada al sistema, Stuxnet emplea las contraseñas por defecto para obtener el control.3​ El fabricante, Siemens, aconseja no cambiar las contraseñas originales porque esto "podría tener impacto en el funcionamiento de la planta".14
La complejidad de Stuxnet es muy poco habitual en un ataque de malware. El ataque requiere conocimientos de procesos industriales y algún tipo de deseo de atacar infraestructuras industriales.31​ En concreto, según la empresa Symantec, Stuxnet verifica la existencia en el objetivo de cierto número de motores variadores fabricados por dos empresas concretas, una iraní y otra finlandesa, estableciéndose rutinas distintas según la cantidad de variadores de uno y otro fabricante.15
El número de vulnerabildades de día cero de Windows que aprovecha Stuxnet también es poco habitual. Este tipo de errores de Windows son muy valorados por crackers y diseñadores de malware puesto que permiten acceder a sistemas incluso aunque hayan instalado todas las actualizaciones de seguridad, al no ser conocidos públicamente. Un ataque malware normal no desperdiciaría cuatro de estos errores en un solo gusano.9
Además, Stuxnet es extrañamente grande, ocupando medio megabyte,16​ y está escrito en distintos lenguajes de programación, incluyendo C y C++, algo que se ve con poca frecuencia en otros ataques de este tipo.
Stuxnet fue firmado digitalmente con dos certificados auténticos robados de autoridades de certificación. Tiene capacidad de actualización mediante P2P, lo que permite su puesta al día incluso después de que el servidor remoto de control haya sido desactivado.1617
Todas estas capacidades habrían requerido un equipo completo de programadores de distintas disciplinas, y la verificación en sistemas reales de que el malware no bloquearía los PLCs. Eric Byres, programador con años de experiencia en el mantenimiento y reparación de sistemas Siemens, declaró a Wired que escribir este software podría haber requerido meses o incluso años de trabajo si lo hubiera realizado una sola persona.​

Eliminación

Siemens ha puesto a disposición del público una herramienta de detección y eliminación de Stuxnet. Siemens recomienda contactar con su soporte técnico si se detecta una infección, instalar los parches de Microsoft que eliminan las vulnerabilidades de Windows y prohibir en las instalaciones industriales el uso de memorias USB ajenas o no controladas.18
También la empresa BitDefender ha desarrollado una herramienta gratuita para eliminar Stuxnet.19

Especulaciones sobre el origen del ataque

Un portavoz de Siemens declaró que el gusano Stuxnet fue encontrado en 15 sistemas, cinco de los cuales eran plantas de fabricación en Alemania. Según Siemens, no se han encontrado infecciones activas y tampoco existen informes de daños causados por el gusano.20
Symantec afirma que la mayor parte de los equipos infectados están en Irán,21​ lo que ha dado pie a especulaciones de que el objetivo del ataque eran infraestructuras "de alto valor" en ese país,9​ incluyendo la Central Nuclear de Bushehr o el Complejo Nuclear de Natanz.16
Ralph Langner, un investigador alemán de seguridad informática, cree que Stuxnet es un arma diseñada "para disparar un solo tiro" y que el objetivo deseado por sus creadores fue probablemente alcanzado,22​ aunque ha admitido que esto son solo especulaciones.16​ Bruce Schneier, otro investigador en seguridad, ha calificado estas teorías como interesantes, si bien señala que existen pocos datos objetivos para fundamentarlas.23
Algunos especialistas (pendiente de encontrar referencias) señalaban a Israel como principal sospechoso, y en concreto a la Unidad 8200 de las Fuerzas de Defensa de Israel.
Finalmente el New York Times eliminó todo rumor o especulación confirmando que se trata de un troyano desarrollado y financiado por Israel y Estados Unidos con el fin de atacar las centrales nucleares iraníes.24






Publicado por en No hay comentarios:
Suscribirse a: Comentarios (Atom)